漏洞描述
2019年9月8日,Apache官方发布了编号为SHIRO-721的漏洞通告.该漏洞是利用Padding Oracle Attack攻击Shiro应用.该攻击方式不再需要以往方式中的key.攻击者可使用合法的RememberMe cookie作为Padding Oracle攻击前缀,构造RememberMe字段的值触发Java反序列化攻击.
Apache编号
SHIRO-710
漏洞威胁等级
高危
影响版本
1.2.5
1.2.6
1.3.0
1.3.1
1.3.2
1.4.0-RC2
1.4.0
1.4.1
漏洞验证
攻击者利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的RememberMe cookie即可完成攻击
修复建议
升级至1.4.2-release-vote1
Reference